บริษัทความปลอดภัย Lookout เผยข้อมูลของมัลแวร์ตัวใหม่ชื่อ "BadNews" บนแพลตฟอร์ม Android ซึ่งประเมินว่ามีคนโหลดแอพที่ฝัง BadNews ไปแล้ว 2-9 ล้านครั้ง โดยส่วนใหญ่อยู่ในรัสเซียและกลุ่มประเทศในเครือโซเวียตเก่า
ความน่าสนใจของ BadNews อยู่ที่ผู้สร้างมัลแวร์นั้นสร้าง "เครือข่ายโฆษณาบนมือถือ" (ลักษณะเดียวกับ AdMob หรือ iAd) ที่ทำงานได้จริงๆ และเชิญชวนให้ผู้สร้างแอพหันมาแปะโฆษณาของตัวเอง ทำให้การส่งแอพขึ้น Google Play ตรวจไม่พบโค้ดของมัลแวร์เพราะตอนแรก BadNews แปะมาแต่โฆษณาตามอย่างแอพทั่วไป
Symantec ได้ค้นพบหลักฐานใหม่ที่เชื่อมโยงกับข้อมูลของมัลแวร์ Stuxnet ว่าข้อมูลล่าสุดเบื้องต้นนั้น Stuxnet เวอร์ชัน 1.001 ถูกสร้างขึ้นในปี 2009 แต่หลักฐานใหม่พบว่า Stuxnet เคยมีเวอร์ชัน 0.5 ในช่วงปี 2007-2009 ดังนั้นการพัฒนามัลแวร์ตัวนี้น่าจะมาก่อนปี 2007 เสียอีก
หลักฐานในการอ้างอิงว่าน่าจะมี Stuxnet เวอร์ชัน 0.5 คือมีการพบส่วนของโค้ดในเวอร์ชันเก่า ซึ่งถูกสร้างโดยใช้แพลตฟอร์ม Flamer และยังไม่มีช่องโหว่ของทางไมโครซอฟท์ถูกรวมอยู่ รวมถึงยังพบว่ามีส่วนโค้ดที่ใช้ในการควบคุมอุปกรณ์ Siemens 417 PLCs ซึ่งคาดว่าน่าจะเป็นเป้าหมายหลักของเวอร์ชันนี้อยู่ (เวอร์ชัน 1.001 พบส่วนที่ขาดหายไปของโค้ดนี้) ดังนั้นจากข้อมูลใหม่จะสามารถตั้งสมมติฐานว่าผู้สร้าง Stuxnet (เชื่อกันว่าเป็นอเมริกาและอิสราเอล) ได้มีแผนที่จะแพร่กระจายและโจมตีอุปกรณ์ Siemens 417 PLCs ซึ่งถูกใช้ในการเสริมสมรรถนะแร่ยูเรเนี่ยมในเมืองนาธานส์ ประเทศอิหร่าน
Stuxnet นั้นได้เชื่อว่าเป็นมัลแวร์รุ่นแรกๆ ที่ถูกใช้ในการโจมตีระดับสงครามไซเบอร์เพื่อหยุดปฏิบัติการใดปฏิบัติการหนึ่งในระดับสูง อีกทั้งยังเป็นต้นแบบของมัลแวร์ในลักษณะนี้อีกหลายๆ รุ่นต่อมาด้วย สำหรับข้อมูลเพิ่มเติมรวมไปถึงวีดีโอข้อมูลสามารถดูได้ที่ท้ายข่าวเลยครับ
on 04/03/13 21:36
Tags:
หน่วยงาน Information Technology Promotion Agency (IPA) ของรัฐบาลญี่ปุ่นประกาศแจ้งเตือนให้ผู้ที่ใช้งานระบบปฏิบัติการ Android เปลี่ยนไปติดตั้งแอพพลิเคชันจาก Store ของโอเปอเรเตอร์ในญี่ปุ่นแทนที่จะเป็น Google Play
เนื่องจาก IPA พบว่ามีแอพพลิเคชั่นชื่อ "sexy porn model wallpaper" อยู่ใน Google Play Store ตั้งแต่วันศุกร์ที่ 1 มีนาคม และมีคนดาวน์โหลดไปติดตั้งกว่า 500,000 คนก่อนที่แอพพลิเคชั่นนี้จะถูกลบออกไปในเวลาต่อมา โดยแอพพลิเคชันดังกล่าวนี้จะแอบส่งข้อมูลส่วนตัวของผู้ใช้งาน เช่น หมายเลข IMEI ของโทรศัพท์มือถือ ตำแหน่งที่อยู่ หรืออีเมล ไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี
สาเหตุที่ทาง IPA แนะนำให้ผู้ใช้งานติดตั้งแอพพลิเคชั่นจาก Store อื่นที่ไม่ใช่ Google Play Store เนื่องจากว่า Store ที่ดูแลโดยโอเปอเรเตอร์นั้นมีการคัดกรองแอพพลิเคชั่นก่อนปล่อยให้ผู้ใช้ดาวน์โหลด
ไมโครซอฟท์ออกแถลงยืนยันว่าบริษัทเป็นเหยื่อของการแฮ็กผ่านช่องโหว่เดียวกับเฟซบุ๊กและแอปเปิล โดยคอมพิวเตอร์จำนวนหนึ่งรวมถึงคอมพิวเตอร์ในส่วนธุรกิจแมคติดมัลแวร์ที่อาศัยช่องโหว่ของ Java sandbox เช่นเดียวกับรายอื่นๆ
ไมโครซอฟท์กำลังตรวจสอบความเสียหาย แต่ระหว่างนี้ยังไม่มีหลักฐานใดๆ แสดงว่ามีข้อมูลลูกค้าหลุดออกไปกับมัลแวร์นี้
ที่มา - TechNet
รายงานจากบริษัท Securi ระบุถึงมัลแวร์ใหม่ที่แฮกเกอร์ติดตั้งลงในเซิร์ฟเวอร์ลินุกซ์ที่ถูกยึดเครื่องได้สำเร็จ โดยตัวมัลแวร์เป็นเซิร์ฟเวอร์ SSH ที่เปิดช่องพิเศษให้กับแฮกเกอร์สามารถกลับเข้ามาควบคุมเครื่องได้ตามต้องการ
มัลแวร์ตัวนี้ได้ชื่อว่า Linux/SSHDoor.A มันทำหน้าที่เปิดช่องให้กับแฮกเกอร์พร้อมกับส่งข้อมูลรหัสผ่านของผู้ใช้กลับไปยังเซิร์ฟเวอร์เครื่องหนึ่งในไอซ์แลนด์
ตัวโค้ดของมัลแวร์พยายามอย่างเต็มที่ที่จะซ่อนตัวเองจากตัวตรวจจับไวรัส มันเก็บสตริงต่างๆ ไว้ในรูปแบบที่ต้อง XOR กับข้อมูลอีกชุดก่อนใช้งาน เพื่อไม่ให้แสกนเนื้อไฟล์เจอข้อความน่าสงสัย รวมถึงการส่งข้อมูลกลับก็ยังเข้ารหัสแบบ RSA เพื่อไม่ให้ผู้ที่ดักข้อมูลได้ระหว่างทางล่วงรู้ว่ามีข้อมูลอะไรภายใน
ยังไม่มีข้อมูลว่ามัลแวร์ตัวนี้เข้าไปในเครื่องได้อย่างไรตั้งแต่ทีแรก
ที่มา - ESET
ห้องแลปบริษัท Kaspersky รายงานการค้นพบมัลแวร์ตัวใหม่ที่มุ่งเน้นเหยื่อเป็นสถานที่ราชการของประเทศแถบยุโรปตะวันออก (กลุ่มรัสเซียเดิม), และตะวันออกลาง โดยทีมวิจัยระบุว่ามีความซับซ้อนในระดับเดียวกับ Flame ที่ถูกค้นพบเมื่อปีที่แล้ว
Red October (ชื่อที่ Kaspersky ตั้งให้เอง ล้อเลียนเพราะมันใช้โจมตีรัสเซีย) อาศัยช่องโหว่ของชุดออฟฟิศที่รู้กันทั่วไป โดยผู้โจมตีจะส่งอีเมลไฟล์ที่สามารถโจมตีเครื่องปลายทางได้ไปทางอีเมล เมื่อไฟล์ถูกเปิดออกตัวมัลแวร์จะทดสอบการเชื่อมต่ออินเทอร์เน็ต แล้วดาวน์โหลดโมดูลเพิ่มเติมมาทำงาน โมดูลหนึ่งใช้เพื่ออัพโหลดไฟล์จำนวนมาก ตั้งแต่ไฟล์เอกสาร, ไฟล์กุญแจเข้ารหัส, และไฟล์ acid เป็นไฟล์ของโปรแกรม Acid Cryptofiler ที่ใช้กันในสหภาพยุโรปและนาโต้ นอกจากนั้นมันยังค้นหาซอฟต์แวร์ที่ติดตั้งในเครื่อง, อัพโหลดประวัติการเข้าเว็บ, ค้นหารหัสผ่านของโปรแกรมแชตและเว็บ, ตรวจสอบอีเมลในเครื่อง, และแสกนเครือข่าย
ไมโครซอฟท์ประเทศจีนออกแคมเปญโฆษณาต่อต้านการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ โดยชูประเด็นเรื่องความปลอดภัยขึ้นมาให้ผู้ใช้สนใจ
แคมเปญนี้ไมโครซอฟท์ใช้วิธีซื้อพีซีตามร้านต่างๆ ในจีนจำนวน 169 เครื่อง และพบว่าทุกเครื่องติดตั้งวินโดวส์ละเมิดลิขสิทธิ์ โดย 91% ของเครื่องทั้งหมดพบมัลแวร์หรือช่องโหว่ด้านความปลอดภัยที่เป็นอันตรายกับผู้ใช้ แบ่งเป็นมัลแวร์โดยตรง 59%, ตั้งค่า IE ให้ผู้ใช้พบกับเว็บหลอกลวง 72%, ปิดการอัพเดตวินโดวส์และไฟร์วอลล์ 70%
ที่น่าสนใจคือพีซีเหล่านี้มีทุกยี่ห้อ เช่น Acer, Asus, Dell, HP, Lenovo รวมถึงแบรนด์ย่อยของประเทศจีน แต่ไมโครซอฟท์ก็อธิบายว่ามัลแวร์ถูกติดตั้งโดยผู้ค้าปลีก ไม่ใช่ผู้ผลิตพีซีโดยตรง (อันนี้คงคล้ายๆ กับบ้านเรา)
จากตัวเลขของ BSA ระบุว่าซอฟต์แวร์ละเมิดลิขสิทธิ์ในจีนมีมูลค่าสูงถึง 9 พันล้านดอลลาร์ ในขณะที่ซอฟต์แวร์ถูกลิขสิทธิ์มีมูลค่าเพียง 2.7 พันล้านดอลลาร์เท่านั้น
ที่มา - PC World
on 31/12/12 8:42
Tags:
บริษัทความปลอดภัย Trend Micro ออกมาเตือนมัลแวร์ BKDR_JAVAWAR.JG ซึ่งสร้างขึ้นมาเพื่อโจมตีเซิร์ฟเวอร์สาย Java (ทั้งกลุ่มที่เป็น Java Servlet อย่าง Tomcat และกลุ่มที่เป็น Java HTTP)
การทำงานของมัลแวร์ตัวนี้คือเจาะเข้าไปยัง Tomcat Web Application Manager โดยใช้วิธีเดารหัสผ่าน แล้วฝังไฟล์ web application archive (WAR) เพื่อเป็น backdoor ของระบบ จากนั้นไฟล์ JSP ของเซิร์ฟเวอร์นี้จะถูกฝัง backdoor ให้ผู้ประสงค์ร้ายเข้ามาควบคุมเครื่องได้
มัลแวร์ตัวนี้ทำงานบนเซิร์ฟเวอร์ Java สายวินโดวส์ ซึ่งก็นับตั้งแต่ Windows 2000 มาจนถึง Windows 7 ทางแก้คือผู้ดูแลระบบต้องตั้งรหัสผ่านที่เข้มแข็ง และหมั่นอัพเดตแพตช์อยู่เสมอครับ
ที่มา - Trend Micro via PC World
บริษัท ESET ผู้ผลิตโปรแกรมแอนตี้ไวรัส ได้ค้นพบโมดูลอันตรายของ Apache Web Server เวอร์ชั่น Linux 64 bit และได้ตั้งชื่อโมดูลที่ค้นพบนี้ว่า Linux/Chapro.A
การทำงานของโมดูลอันตรายดังกล่าว จะแทรกโค้ด เช่น iframe หรือ JavaScript เข้าไปในเว็บเพจเพื่อเผยแพร่โทรจัน Zbot (หรืออีกชื่อหนึ่งคือ ZeuS) ซึ่งโทรจันที่ว่านี้จะขโมยข้อมูลการใช้งานธนาคารออนไลน์ โดยเมื่อผู้ใช้ล็อกอินเข้าใช้งานบัญชีธนาคาร มัลแวร์จะแสดงหน้าต่าง popup ขึ้นมาเพื่อหลอกถามรหัส CVV ของบัตรเครดิต จากนั้นจะส่งข้อมูลของผู้ใช้รวมทั้งรหัส CVV ไปให้ผู้ควบคุม Botnet อีกทีหนึ่ง
สิ่งที่น่าสนใจของ Linux/Chapro.A คือวิธีที่ใช้ในการซ่อนตัวจากผู้ดูแลระบบ ไม่ว่าจะเป็นการตรวจสอบ IP ที่เชื่อมต่อ SSH เข้ามาที่เซิร์ฟเวอร์ หากพบว่า IP ที่เข้าชมเว็บไซต์เป็น IP เดียวกับที่เชื่อมต่อ SSH จะไม่แสดงหน้าเว็บอันตรายให้เห็น หรือการเซ็ตค่า cookie เพื่อให้ผู้เข้าชมเว็บไซต์ติดมัลแวร์ได้แค่ครั้งแรกครั้งเดียว เป็นต้น
ที่มา - Help Net Security, ESET Blog
บริษัทความปลอดภัย ESET ผู้สร้างซอฟต์แวร์แอนตี้ไวรัสอีกรายหนึ่ง ออกรายงานประเมินแนวโน้มของวงการความปลอดภัยไซเบอร์ในปี 2013 ประเด็นสำคัญมีดังนี้
- การติดมัลแวร์จากสื่อที่ถอดได้ (removable storage) เริ่มลดจำนวนลง เนื่องจากมัลแวร์มีช่องทางใหม่ๆ ในการกระจายตัว
- มัลแวร์บนแอนดรอยด์จะเติบโตตามส่วนแบ่งตลาดของแอนดรอยด์ที่สูงขึ้นเรื่อยๆ โดยมัลแวร์ปี 2012 เพิ่มขึ้นจากปี 2011 ถึง 17 เท่า (ค่าเฉลี่ยทั่วโลก) และตัวเลขของปี 2013 จะเพิ่มสูงกว่านี้มาก
- ประเทศที่มีอัตราการเติบโตของมัลแวร์บนแอนดรอยด์สูงสุดคือ ยูเครน (78 เท่า) รัสเซีย (65 เท่า) อิหร่าน (48 เท่า)
- ประเภทของมัลแวร์ที่พบมากที่สุดคือ แอบสมัครบริการ SMS แบบเสียเงิน (40%) เปลี่ยนอุปกรณ์ของเราเป็นซอมบี้หรือบ็อตเน็ต (32%) และขโมยข้อมูลจากเครื่อง (28%)
- มัลแวร์ตระกูลที่พบมากที่สุดในปี 2012 คือ TrojanSMS.Agent
รายละเอียดเพิ่มเติมอื่นๆ อ่านได้จาก PDF ต้นฉบับครับ คนที่สนใจเรื่องความปลอดภัยไม่ควรพลาด
ที่มา - ESET (PDF), PC World
on 26/11/12 21:26
Tags:
Symantec ค้นพบมัลแวร์ตัวใหม่ชื่อ W32.Narilam ซึ่งมุ่งเป้าทำลายข้อมูลในฐานข้อมูล Microsoft SQL Server ที่เชื่อมต่อแบบ OLEDB โดยเฉพาะ
มัลแวร์ตัวนี้ระบาดในประเทศอิหร่าน โดยมีแพร่หลายอยู่ในสหรัฐอเมริกาบ้างเล็กน้อย มันจะค้นหาชื่อตารางหรือวัตถุในฐานข้อมูลด้วยคำที่พบบ่อยในภาษาอังกฤษและเปอร์เซีย (เช่น buyername, holiday, person) แล้วจะเปลี่ยนค่าพวกนี้ด้วยคำอื่นแบบสุ่ม หรือลบตารางทิ้งในบางกรณี
Symantec ตั้งข้อสังเกตว่ามัลแวร์ตัวนี้ไม่มีความสามารถด้านการขโมยข้อมูลของระบบดังเช่นมัลแวร์ทั่วไป และมุ่งเป้าทำลายฐานข้อมูลเฉพาะบางอันเป็นพิเศษ ส่วนใหญ่เกี่ยวข้องกับบัญชี การสั่งซื้อ การบริหารลูกค้า ซึ่งมักพบในบริษัทภาคเอกชน เป้าหมายของมันจะคล้ายกับมัลแวร์ W32.Stuxnet ในอดีตที่เน้นทำลายระบบควบคุมโรงงานและอุตสาหกรรมเป็นพิเศษ
ที่มา - Symantec
on 14/11/12 17:33
Tags:
นักวิจัยด้านความปลอดภัย Shantanu Gawde วัย 16 ปีชาวอินเดียได้อ้างว่า เขาได้ทำการพัฒนามัลแวร์ตัวแรกบน Windows Phone 8 สำเร็จแล้ว โดยมัลแวร์ตัวนี้มีความสามารถในการขโมยข้อมูลส่วนตัวของผู้ใช้งาน เช่น รายชื่อในสมุดโทรศัพท์, ข้อความ และสามารถอัพโหลดรูปภาพหรือข้อมูลจากอุปกรณ์ของเหยื่อได้ด้วย
จากการสัมภาษณ์ภายในงาน Malcon Security ทาง Gawde ยังไม่ได้เปิดเผยรายละเอียดใดๆ เกี่ยวกับมัลแวร์ตัวนี้มากนัก รวมถึงประเด็นเรื่องช่องโหว่ด้านความปลอดภัยใน Windows Phone 8 เมื่อปีที่แล้ว Gawd ได้เผยแพร่ผลงานมัลแวร์บน Kinect และเป็นบุคคลที่อายุน้อยที่สุดที่ได้รับ Microsoft Certified Application Developer อีกด้วย
ทางไมโครซอฟท์ยังไม่มีข้อมูลใดๆ เกี่ยวกับมัลแวร์ตัวนี้
ที่มา - SC Magazine
บริษัทความปลอดภัย F-Secure ออกรายงานสรุปสถิติความปลอดภัยบนอุปกรณ์พกพา (Mobile Threat Report) ประจำไตรมาสที่สามของปี 2012 มีประเด็นที่น่าสนใจดังนี้
- จุดหลักๆ ของภัยคุกคามบนมือถือยังอยู่บน Android (66.8%) และ Symbian (29.8%) ส่วน iOS มีเพียง 1.1% เท่านั้น (แต่ iOS ก็มีภัยคุกคามเพิ่มขึ้นเช่นกัน)
- มัลแวร์ของ Symbian ส่วนใหญ่มาจากจีน และเน้นการส่ง SMS เพื่อหาเงินเป็นหลัก
- F-Secure พบตัวอย่างแอพ Android จำนวน 51,447 ตัวอย่างในไตรมาสที่สาม เทียบกับตัวเลข 5,033 ตัวอย่างในไตรมาสที่สอง ก็เพิ่มขึ้นกว่าสิบเท่า
- F-Secure บอกว่าปัญหาเรื่องภัยคุกคามของ Android โตตามส่วนแบ่งตลาด และถึงแม้กูเกิลจะเริ่มใช้ตัวช่วยกรองแอพ Bouncer ใน Play Store ก็ไม่ได้ช่วยให้ภัยคุกคามลดลง เพราะผู้ใช้ยังติดตั้งแอพด้วยวิธีการอื่นๆ ได้
- มัลแวร์ Android ช่วงหลังๆ เน้นการส่ง SMS เพื่อหาเงินเช่นกัน ซึ่งต่างไปจากมัลแวร์ที่ค้นพบในช่วงต้นปี
- ระบบปฏิบัติการรุ่นใหม่ๆ อย่าง Android 4.1 มีมาตรการด้านความปลอดภัยแบบใหม่ๆ ช่วยลดปัญหาภัยคุกคามมากขึ้น
- โทรจันที่น่าจับตาคือ FinSpy ซึ่งทำงานได้หลายแพลตฟอร์ม รวมถึง iOS และ Windows Mobile ด้วย
ที่มา - F-Secure (PDF), TechCrunch
เรื่องความปลอดภัยของ Windows เป็นสิ่งที่หละหลวมมาหลายทศวรรษ ถึงขั้นที่ช่วงหนึ่งแอปเปิลตอกย้ำ Windows ว่า Mac OS นั้นไม่มีไวรัส แต่เมื่อมาถึงยุคของ Windows 8 ที่ถูกพอร์ตออกไปยังอุปกรณ์พกพาประเภทแท็บเล็ตเพิ่มเติมนั้น สิ่งที่ไมโครซอฟท์พยายามทำมาตลอดนั้นคือทำให้ Windows 8 กลายเป็นระบบปิด ความปลอดภัยจึงค่อนข้างเข้มงวดกว่าพอสมควร
ดังนั้นเพื่อเอาแน่เอานอนว่า Windows 8 ปลอดภัยชัวร์ ทาง BitDefender จึงได้ทำการทดสอบด้วยการยิงมัลแวร์ใส่ตัว Windows 8 ที่เพิ่งจะถูกติดตั้งเสร็จหมาดๆ ไป 385 ตัว พบว่า 61 ตัวยังคงทำงานได้ครับ นั่นหมายความว่า อีก 324 ตัวหรือประมาณ 85% ถูกตัว Windows Defender (หรือ MSE เดิม) ทำการบล็อคเอาไว้ทั้งหมดครับ
นอกจากนี้ทาง Softpedia ยังได้ทดสอบในรูปแบบเดียวกัน แต่ปลายทางของตัวเครื่องเป็น Windows 7 พบว่า มัลแวร์กว่า 262 ตัว สามารถทำงานได้ และเมื่อทดสอบต่อไปโดยการปิด Windows Defender ลง Windows 8 ยังคงบล็อคมัลแวร์ได้พอสมควรครับ โดยสามารถทำงานไปได้กว่า 234 ตัว โดยส่วนที่โดนบล็อค นั่นก็คือติดคำสั่ง User Account Control ของ Windows 8 นั่นเองครับ
แต่อย่างไรก็ตาม เพื่อความปลอดภัยสูงสุด ผมแนะนำว่าควรหา Anti-virus ที่ไว้ใจได้มาใช้งานครับ
สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกาหรือ FBI แผนกความปลอดภัยทางไซเบอร์ได้เริ่มวิเคราะห์ภัยทางอินเทอร์เน็ต และพิสูจน์ตัวตนของแฮกเกอร์แบบ 24 ชั่วโมง ตลอด 7 วันโดยผู้เชี่ยวชาญระดับพิเศษแล้ว ซึ่งการวิเคราะห์ภัยทางอินเทอร์เน็ตนั้นครอบคลุมทั้งฟิชชิ่ง, มัลแวร์ และอาชญากรรมทางคอมพิวเตอร์อื่นๆ
Richard McFeely หัวหน้าแผนกความปลอดภัยทางไซเบอร์ได้กล่าวว่า ปัจจุบันภัยทางอินเทอร์เน็ตที่ส่งผลกระทบต่อทั้งระบบภายในประเทศ สิทธิ และเสรีภาพของประชาชน รวมไปถึงความมั่นคงของชาตินั้นมีจำนวนเพิ่มขึ้นเป็นอย่างมาก FBI จึงได้มีการฝึกเจ้าหน้าที่พิเศษที่จะช่วยวิเคราะห์ต้นฉบับของมัลแวร์ รวมไปถึงการโจมตีแบบต่างๆ เพื่อเก็บข้อมูลและสาวไปถึงต้นตอของการโจมตี โดยทาง FBI ก็จะมีการร่วมมือกับทางหน่วยข่าวกรองและองค์กรทางด้านกฎหมาย เช่น กระทรวงกลาโหม (DoD), สภาความมั่นคงแห่งชาติ (NSA) และหน่วยอื่นๆ ใน FBI ด้วย
Richard McFeely ยังกล่าวเพิ่มเติมด้วยว่า ปัจจุบันผู้ก่อการร้ายต่างเปลี่ยนมาใช้การโจมตีบนอินเทอร์เน็ตเป็นจำนวนมาก ดังนั้นสิ่งสำคัญคือผู้ใช้จำเป็นต้องรู้และเข้าใจการทำงานของคอมพิวเตอร์ สามารถสังเกตความผิดปกติและแจ้งข้อมูลข่าวสารที่เป็นประโยชน์ให้กับหน่วยงานที่รับผิดชอบได้ ผู้ใช้งานควรเริ่มระมัดระวังอย่างจริงจังเสียที
ที่มา - FBI via The Hacker News
อโดบียกเลิกใบรับรองที่เป็นคีย์ที่ถูกเข้ารหัสบางส่วนหลังจากได้รับการยืนยันว่าแอพพลิเคชันที่ใช้คีย์นั้นเป็นมัลแวร์ ซึ่งจากการตรวจสอบนั้นมีความเป็นไปได้ว่าเซิร์ฟเวอร์ที่ทำหน้าที่ในคอมไพล์และจัดการข้อมูลของบริษัทนั้นถูกบุกรุก เนื่องจากเซิร์ฟเวอร์นี้มีการเชื่อมต่อกับระบบที่มีหน้าที่จัดการใบรับรอง ทำให้ผู้โจมตีที่บุกรุกเข้ามาสามารถใช้ระบบนี้ออกใบรับรองให้กับมัลแวร์ได้
อโดบีกล่าวเพิ่มเติมว่าการบุกรุกเซิร์ฟเวอร์นั้นอาจมีการใช้วิธี Advanced Persistent Threat (APT) สำหรับมัลแวร์สองตัวที่ได้รับใบรับรองนั้น ตัวแรกเป็นโปรแกรมที่มีชื่อว่า pwdump7 v7.1 ซึ่งใช้สำหรับค้นหารหัสผ่านบนวินโดวส์และมีการเข้าไปใช้ข้อมูลจาก libeay32.dll ซึ่งเป็นไลบรารี่ของ OpenSSL ด้วย และอีกโปรแกรมคือ myGeeksmail.dll ที่เป็น ISAPI filter โดย filters นี้นั้นเป็นสกุลไฟล์พิเศษของ IIS โดยมันมีความสามารถในการสกัดกั้นการติดต่อสื่อสารระหว่างผู้ใช้งาน (ผู้อ่านสามารถตรวจสอบ md5 แฮชของทั้งสองไฟล์ได้จากที่นี่ครับ)
จนถึงตอนนี้ทางอโดบียังไม่ได้กล่าวแน่ชัดเกี่ยวกับผู้โจมตีซึ่งอาจเป็นได้ทั้งองค์กรที่มีทรัพยากรทางบุคลากรที่สูงระดับประเทศ หรืออาจเป็นคู่แข่งทางการค้าก็ได้ บางทีความพยายามครั้งนี้อาจจะนำไปสู่การสร้างมัลแวร์อย่างที่ Flame เคยทำไว้ก็ได้นะครับ
ที่มา - Adobe Secure Software Engineering Team (ASSET) Blog via Ars Technica, H-Online
โทรจัน Encriyoko เพิ่งถูกค้นพบเมื่อกลางเดือนที่ผ่านมา ตัวมันเองทำงานด้วยการเข้ารหัสไฟล์เอกสารจำนวนมากในเครื่อง โดยสร้างกุญแจการเข้ารหัสด้วยการสุ่มขึ้นมาหรือใช้กุญแจจากไฟล์ D:\nepia.dud จุดที่ทำให้มันน่าสนใจกว่าโทรจันอื่นๆ คือมันพัฒนาด้วยภาษา Go
ตัวโทรจันเป็นไฟล์ติดตั้งที่เขียนด้วย .NET ใช้ชื่อไฟล์ว่า GalaxyNxRoot.exe เมื่อติดตั้งแล้วจะได้สองไฟล์ที่พัฒนาด้วยภาษา Go นั่นคือ PPSAP.exe และ adbtool.exe ไฟล์แรกจะอัพโหลดข้อมูลเกี่ยวกับเครื่องของเรากลับไปยังเซิร์ฟเวอร์ อีกไฟล์หนึ่งจะดาวน์โหลด DLL สำหรับการเข้ารหัสไฟล์ในเครื่องของเรามารัน
ใครรูทเครื่องเล่นด้วยโปรแกรมแปลกๆ บ่อยๆ ก็ระวังตัวกันด้วยนะครับ
ที่มา - Symantec
นักวิจัยจากไมโครซอฟท์ตรวจพบการติดตั้งโปรแกรมประเภทมัลแวร์บนพีซีที่ผลิตจากประเทศจีน ซึ่งได้ถูกจำหน่ายในราคาที่ค่อนข้างต่ำกว่าท้องตลาดโดยใช้มัลแวร์ในการดาวน์โหลดและติดตั้งมัลแวร์ตัวอื่น
จากการวิเคราะห์พบว่ามัลแวร์นี้มีชื่อว่า Nitol ทำงานในลักษณะของบอทเน็ตโดยมันจะเข้าไปยังเว็บไซต์ที่มีการเก็บมัลแวร์ตัวอื่นเอาไว้และดาวน์โหลดมาติดตั้งบนเครื่องของผู้ใช้งาน ไมโครซอฟท์ยืนยันว่าเว็บไซต์ดังกล่าวมีการเก็บมัลแวร์ไว้มากกว่า 500 ประเภทโดยทางวอชิงตันโพสต์ก็อ้างว่าเป็นเว็บไวต์ประเภท repository ของมัลแวร์ที่ใหญ่ที่สุดเท่าที่เคยค้นพบมา
สำหรับการป้องกันนั้น ทางไมโครซอฟท์ได้ให้คำแนะนำในการเลือกซื้อพีซีหรือคอมพิวเตอร์จากบริษัทผู้ผลิตที่ไว้ใจได้ รวมถึงหมั่นสแกนมัลแวร์และอัพเดทฐานข้อมูลของมัลแวร์อยู่อย่างสม่ำเสมอ ซึ่งในขณะนี้ก็มีการฟ้องร้องไปยังผู้ผลิตแล้ว (แต่จะได้ผลหรือไม่ก็อีกเรื่องนึง)
ที่มา - PC World
ไมโครซอฟท์มีหน่วยปราบปรามบ็อตเน็ตเป็นของตัวเอง และที่ผ่านมาก็มีปฏิบัติการร่วมกับเจ้าหน้าที่รัฐ ช่วยกันบุกปิดเซิร์ฟเวอร์ของบ็อตเน็ตเหล่านี้อยู่เรื่อยๆ (อ่านข่าว ไมโครซอฟท์จับมือเจ้าหน้าที่รัฐบาล บุกปิดเซิร์ฟเวอร์สำหรับรันโทรจัน Zeus)
ล่าสุด Microsoft Digital Crimes Unit ได้รับคำสั่งศาลสหรัฐให้บล็อคโดเมนจีน 3322.org ซึ่งใช้เป็นเซิร์ฟเวอร์ของมัลแวร์ชื่อ Nitol เพื่อส่งข้อมูลของเครื่องที่ติดมัลแวร์ตัวนี้กลับมายังผู้สร้าง ตามข้อมูลของไมโครซอฟท์บอกว่า 3322.org มีซับโดเมนกว่า 70,000 ชื่อ ใช้สำหรับมัลแวร์กว่า 500 ชนิด
ภายใต้คำสั่งศาล ไมโครซอฟท์ได้ทำการไฮแจ็คโดเมน 3322.org ให้ส่งข้อมูลกลับมายังเซิร์ฟเวอร์ของไมโครซอฟท์เอง ช่วยลดการเผยแพร่มัลแวร์กลุ่มนี้และค้นหาเครื่องที่ติดมัลแวร์ได้ง่ายขึ้น
จุดที่น่าสนใจของกรณี Nitol คือมันถูกติดตั้งมากับพีซีตั้งแต่โรงงานเลย โดยเป็นโรงงานประกอบพีซีที่มีกระบวนการไม่ปลอดภัยเพียงพอ จนมีช่องว่างให้ผู้สร้างมัลแวร์แอบฝัง Nitol ลงในวินโดวส์รุ่นที่ติดตั้งลงบนพีซีใหม่ได้ เรื่องนี้เป็นกรณีศึกษาที่น่าสนใจของคนใช้วินโดวส์เถื่อนที่รับรองความปลอดภัยไม่ได้ ว่ามีโอกาสเกิดปัญหาแบบเดียวกัน
ที่มา - Microsoft Blog, BBC
ปัญหาช่องโหว่ของ Java กลายมาเป็นภัยคุกคามต่อผู้ใช้เข้าจริงๆ แล้ว โดยบริษัทความปลอดภัยหลายแห่งตรวจพบว่ามีการปลอมอีเมลจากไมโครซอฟท์ (ซึ่งไมโครซอฟท์เพิ่งส่งอีเมลปรับนโยบายการใช้งานออกมาจริงๆ หลายคนแถวนี้คงได้รับ) แต่เปลี่ยนลิงก์เป็นเว็บไซต์ประสงค์ร้ายแทน
เมื่อผู้รับอีเมลคลิกที่ลิงก์ เว็บไซต์ปลายทางจะติดตั้งโปรแกรม BlackHole Exploit Kit เพื่อสแกนโปรแกรมในเครื่องคอมพิวเตอร์ของผู้ใช้ เพื่อหาจุดอ่อนที่เปิดเผยต่อสาธารณะแล้วแต่ยังไม่ถูกแพตช์แก้ และการที่ Java มีปัญหาความปลอดภัยค้างมานาน (แม้ออราเคิลออกแพตช์แก้แล้วแต่คนยังไม่ค่อยอัพเดตกัน) ทำให้อัตราการติดมัลแวร์เพิ่มขึ้นสองเท่าตัว ตอนนี้มีเครื่องที่โดนมัลแวร์จากวิธีการนี้อยู่ในระดับหลักหมื่นเครื่องแล้ว
ส่วนปัญหาเรื่อง Java 7 u7 รุ่นล่าสุดยังมีช่องโหว่อยู่ ทางออราเคิลก็รับทราบและกำลังสอบสวนเรื่องนี้
ระหว่างนี้ผู้ใช้คงต้องป้องกันตัวเอง โดยปิดการใช้งาน Java กันชั่วคราว (วิธีการสำหรับคนที่ไม่ทราบ) หรือถ้าไม่จำเป็นจริงๆ อาจถอนการติดตั้งออกไปเลย
ที่มา - Sophos Naked Security